Drive by Download et Leak DNS dans Firefox 3.5
Par Korben | Nb visites : 185
Il y a apparement 2 failles majeures dans Firefox 3.5 qui concerne un Drive By Download et une fuite au niveau des DNS.
D’après cette info, des sites malicieux pourraient télécharger des programmes et les exécuter à votre insu, vous infectant avec n’importe quel malware imaginable… Voici une démonstration en vidéo :
Une seule solution pour s’en protéger, désactiver le javascript. (Edit : Les explications pour patcher ce problème sont là )
La seconde info reste à confirmer mais si vous passez par un proxy anonyme ou une connexion TOR (ou ce que vous voulez… Tunnel SSH…etc) et que vous utilisez Firefox 3.5, la résolution DNS se fera hors proxy, vous exposant à nu malgrès toutes les protections et redirections utilisées.
Après avoir configuré son Firefox 3.5 pour passer via un proxy socks 5, et sniffer ses connexions avec Wireshark, le leak DNS était bien réel
Mozilla a été prevenu… En attendant, si vous voulez vraiment être anonyme, vous êtes bon pour réinstaller Firefox 3.0
[source]
Je vous recommande aussi la lecture des sujets suivants
- Firefox sera personnalisable pour les entreprises
- Accélérer Firefox en le défragmentant (windows linux et mac)
- Un Internet Explorer 8 qui ne laisse pas de traces
- Internet pour tous 1/2
- Le retour de RadioBlogClub
- Lancer Firefox automatiquement en mode anonyme !
- Mozilla va intégrer le mode « Cyber-trompe ta femme » dans Firefox
- Mozilla Firefox 4.0 pre-alpha
- Redonnez du look à vos contrôles Firefox
- Surfez sur Internet comme si vous êtiez en Chine
Bodhi7
Lol, passez a Opéra
Posté le 15 juillet 2009 à 09:32:00
nekomata
Lynx aussi, c’est bien.
Posté le 15 juillet 2009 à 09:40:15
stunti
Je vais rester a Chromium (dit il en postant ca de firefox 3.5)
Posté le 15 juillet 2009 à 09:43:25
Félix Aimé
Ce matin, l’exploitation de la faille Heap Spray à été intégrée au FrameWork MetaSploit. Je sens des petits plaisantins qui vont s’amuser au bureau.
Voir ici (ou upgrader son metasploit) : http://trac.metasploit.com/browser/framework3/trunk/modules/exploits/multi/browser/firefox_escape_retval.rb?rev=6803
Posté le 15 juillet 2009 à 09:47:59
Boblastic
Sympas ces failles… :-/
Merci pour l’info !
Posté le 15 juillet 2009 à 09:50:12
craug
En utilisant ultra vpn et en geolocalisant mon ip je ne tombe pas du tout sur mon ip originelle. donc pour la seconde faille je ne comprend pas trop
Posté le 15 juillet 2009 à 09:53:00
Félix Aimé
@craug: C’est la requête DNS qui se fait sous ta vraie IP. Bref, ce n’est pas une vulnérabilité très importante pour ton « anonymat » sur internet, car le cible cible ne sera pas qui tu es, seul le serveur de résolutions de noms DNS (de ton FAI ou de ton réseau local).
Bref, ce n’est pas très hard comme faille pour la deuxième, même si, il est préférable tout de même d’avoir les requêtes DNS anonymes et qu’elles envoient vers des serveurs DNS indépendants et libres (style OpenDNS) histoire de n’être pas, non plus, fliqué par votre FAI.
Posté le 15 juillet 2009 à 10:04:19
Kelwee
@craug: On parle ici de DNS, le DNS se fait quand ton PC ne connait pas l’adresse associé au nom de domaine.
Par exemple quand tu tapes « ping korben.info », il y a résolution de ton DNS vers l’ip 91.121.109.67 et à partir de ce moment tu commences la navigation web (pas avant)
Mais la résolution DNS ne se fait qu’une fois et ne cherche à connaitre qu’une adresse IP lié à un domaine, donc y a pire comme faille…
Posté le 15 juillet 2009 à 10:07:33
xbb
Pour la première faille (celle la plus grave si j’ai bien compris), quelqu’un pourrait éclairer ma lanterne sur le pourquoi/comment du machin, dans quelles situations on prend un risque, et dans quelle situation tout est ok, même si on est sur 3.5 ?
Mici
Posté le 15 juillet 2009 à 10:18:20
craug
oki les gens merci pour ces precisions.
bon on a pu qu’a attendre le patch pour corriger ces erreur parce que desactiver javascript c’est pas tres pratique qand meme :p
merci encore
Posté le 15 juillet 2009 à 10:22:37
Félix Aimé
@xbb: La première faille réalise tout simplement l’exécution d’un Shell Code (une commande) par FireFox lorsque tu visites simplement une page Internet. Cela permet par exemple à un attaquant, grâce à cette commande de faire télécharger à la victime un petit logiciel, et de l’exécuter afin de réaliser une back-connect histoire de passer quelques firewalls.
Tu prends des risques sur pas mal de sites, car cette attaque est souvent réalisée par des attaques « à la volée » par iframes dissimulées dans des sites déjà piratés. Certains pirates, beaucoup plus précis iront faire ouvrir à la victime une bonne page après connaitre leur version de FireFox grâce à leur UA.
Pour se débarrasser de cette vulnz, soit désactiver totalement le JavaScript (ce qui est assez naze) soit ajouter à Firefox des addons permettant de restreindre l’exécution du JS à des domaines de confiance.
Posté le 15 juillet 2009 à 10:35:03
djiock
Pssss j’espère qu’ils vont résoudre la première faille rapidemment pasque c’est quand même super grave… Pour les malheureux sous windows.
Posté le 15 juillet 2009 à 10:39:28
Sphax
Ca craint pour FF3.5 ! Des vulnérabilités de ce genre, c’est pas top moumoutte pour leur image…
C’est décidé, je retour à IE5, ce navigateur au moins est hyper secure tellement il ne sait rien faire.
Posté le 15 juillet 2009 à 10:43:17
Omfg, I'm a poney ?!
@Sphax:
Il ne sait rien faire ET n’est pas sécurisé
Posté le 15 juillet 2009 à 11:19:50
eMilien
La première faille n’est pas lié à Firefox, merci de corriger Korben
Posté le 15 juillet 2009 à 11:28:21
Neoseifer
La première faille, ce serait sur IE, on ferait un scandale !
Posté le 15 juillet 2009 à 11:45:34
Omfg, I'm a poney ?!
@eMilien:
Possible d’expliquer de façon un peu plus approfondie ?
Posté le 15 juillet 2009 à 12:11:15
Félix Aimé
La première est liée à une version non mise à jour du player Flash. Cependant, il existe une autre faille, véritablement liée à son moteur javascript (cette dont je parlais dans un autre commentaire).
Un patch va être mis en ligne dans un ou deux jours.
Source là : http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
Posté le 15 juillet 2009 à 12:17:37
Shnoulle
Source : http://blogs.paretologic.com/malwarediaries/index.php/2009/07/07/firefox-35-exploit/
Posté le 15 juillet 2009 à 12:39:12
MikeZ
Si il faut avoir activé javascript pour la première faille, ben faites comme les gens sérieux, surfez avec les scripts coupés par défaut et utilisez NoScript..
Chaud pour la faille DNS, moi qui utilisait ForxyProxy exprès pour éviter une fuite DNS arghhhhhhhhhhhhhhhhh (il faisait passer les requetes DNS par le proxy)
Posté le 15 juillet 2009 à 14:04:42
lafaille
Je n’aime pas javascript, je l’ai toujours trouvé dangereux et de plus en plus de sites l’utilisent.
J’utilise noscript sans aucune liste blanche, meme pas Korben. C’est un peu ennuyeux, je dois toujours autoriser certaines pages temporairement sinon je n’y ai pas accès.
Il faudrais reinventer le net sans Javascript et sans flash !
Posté le 15 juillet 2009 à 14:31:21
Félix Aimé
Eh eh, tu n’as pas compris Korben, il y a deux failles. Une (celle de la vidéo) liée à une version du player flash non à jour. et l’autre (celle où le patch est publié sur le blog security de mozilla) qui est liée au moteur javascript de FireFox (considérée comme zéro dayz par les experts), où Metasploit et milw0rm ont publié un exploit pour l’exploiter.
(Je sais, c’est trop le bazar entre tous ces PoCs, vulnérabilités, vulnérabilités potentielles etc…)
Posté le 15 juillet 2009 à 20:02:15
Tain0s
Selon le TechBlog d’Avira :
The Mozilla Foundation issued a warning of a security hole in the Just-in-time compiler for JavaScript of the new Firefox 3.5 web browser. As exploit code is already publicly available they recommend to turn of the compiler temporarily. From the security advisory:
1. Enter about:config in the browser’s location bar.
2. Type jit in the Filter box at the top of the config editor.
3. Double-click the line containing javascript.options.jit.content setting the value to false.
The developers are currently working on a fix. Until then it is a good idea to implement the described workaround.
Source : http://techblog.avira.com/2009/07/15/6-patches-from-microsoft-vulnerability-in-firefox-3-5/en/
Posté le 16 juillet 2009 à 09:30:30
kewa
Le problème de DNS peut être gênant quand on crée un tunnel pour passer inaperçu.
Si les requêtes DNS ne passent pas par ce tunnel, on peut voir où l’on va mais pas ce que l’on y fait.
Mais ce problème peut être résolu (à vérifier) dans la configuration :
- aller à l’adresse about:config
- modifier la valeur « network.proxy.socks_remote_dns » Ã « true »
http://www.metropipe.net/wiki/index.php/Avoid_Firefox_DNS_Leak
Posté le 17 juillet 2009 à 14:59:24
Ajax
Firefox 3.5.1 Dispo dans les bacs =)
( http://fr.www.mozilla.com/fr/ )
Developpez.com : Quelques jours après la mise à disposition de la version finale de Firefox 3.5, Mozilla vient de mettre en ligne la version 3.5.1 de Firefox.
Cette mise à jour corrige plusieurs problèmes de sécurité, de stabilité et celui du démarrage sous Windows. Elle corrige également la vulnérabilité située au niveau du moteur d’exécution JavaScript.
Cette mise à jour qui est vivement recommandée corrige tout de même un peu de 20 bugs.
Posté le 17 juillet 2009 à 15:41:03
MikeZ
@kewa
Non ! Il est écrit (je sais plus ou) que le bug en question du DNS leak intervient justement parce que le fait de mettre a TRUE cette option ne change rien dans Firefox 3.5..
La version 3.5.1 corrige la faille javascript mais pas le dns leak (suffit de regarder le changelog)
Posté le 18 juillet 2009 à 13:55:42
Eric Jung
Hi,
This is now fixed in FoxyProxy Standard 2.16, FoxyProxy Basic 1.3, and FoxyProxy Plus 3.3. Be sure to check « Use this proxy for all DNS lookups » when marking a proxy as SOCKS in FoxyProxy.
If you agree that it’s fixed, I’d appreciate another blog post (or an update to this one) so people finding your blog on the internet–like me–get more accurate information.
Best regards,
Eric Jung
Author
FoxyProxy
Posté le 2 décembre 2009 à 05:30:36